Imamo slučaj iz Austrije, koji se, nadamo se, nije nikada dogodio kod nas, ali je dobro da na vrijeme upozorimo na moguće ozbiljno kršenje GDPR-a.
Krenimo s pukom teorijom: GPS praćenje službenih vozila može biti opravdano za određenu organizaciju radi zaštite imovine i ljudi kao i u svrhe optimizacije troškova voznog parka. I tu bi se moglo lako razaznati da se obrade podataka o kretanju službenih vozila, a samim time i zaposlenika, provode u svrhe koje su i u interesu samih zaposlenika s kojima poslodavac ima izravan odnos, da je pri tom poslodavac jasno informirao svoje zaposlenike da se kretanje službenih vozila prati i da imaju pravo na prigovor na takvu obradu njihovih osobnih podataka u skladu s temeljnim odrednicama legitimnog interesa kao valjanog pravnog temelja iz članka 6. GDPR-a.
Idila, priznat ćemo.
No, što se mijenja u ovom scenariju GDPR usklađenosti ako poslodavac putem sustava GPS praćenja vozila prati ne samo poslovno opravdana kretanja službenih vozila, već prati i kretanje službenih vozila u privatne svrhe.
Austrijski slučaj nam pokazuje da je njihovo nadzorno tijelo za zaštitu osobnih podataka utvrdilo slijedeće:
- Poslodavac je unajmio 15 vozila na leasing i omogućio njihovo korištenje zaposlenicima u službene i privatne svrhe
- Istovremeno, osim praćenja lokacije pojedinog vozila, GPS sustav je korišten i za vođenje evidencije radnog vremena, službenih putovanja i izračunavanje troškova putovanja
- Svako vozilo imalo je uređaj kojim je praćenje kretanja vozila vozač mogao isključiti
- (Osobni) podaci koji su se prikupljali putem GPS sustava nadzora kretanja vozila uključivali su i udaljenost prijeđenog puta, datum i vremena, početnu lokaciju, završnu lokaciju putovanja, kretanje vozila između tih lokacija
- Jedina osoba koja je imala pristup tim podacima bila je ujedno odgovorna osoba za obračun plaća i računovodstvena pitanja
- Naravno, i tvrtka koja je instalirala i održavala GDPR sustav praćenja kretanja vozila imala je pristup svim prikupljenim podacima
Nadzorno tijelo je reagiralo svojim stajalištem:
- Pozivajući se na presudu Europskog suda u slučaju C-708/18 nadzorno je tijelo naglasilo da se legitimni interes mora temeljiti na NUŽNOSTI obrade osobnih podataka na način da se prikupljaju i obrađuju samo osobni podaci koji su NUŽNI za opravdanu svrhu, bez primjene previše invazivnih metoda obrade osobnih podataka
- Praćenje trenutne lokacije svakog vozila nije bilo nužno s obzirom da je poslodavac imenovao koordinatore koji su u stalnom kontaktu sa zaposlenicima na terenu i koji su znali detaljno o putovanjima zaposlenika i njihovim zadaćama
- Za isporuku rezervnih dijelova proizvoda, kakve potrebe su u najvećoj mjeri bile razlogom korištenja službenih vozila, nije bilo nužno pratiti trenutnu lokaciju službenih vozila, već je samo bila nužna informacija o izvršenoj isporuci, odnosno, kako su obrazložili, zaposlenik nije mogao otići do drugog klijenta ako nije imao nalog za isporuku rezervnog dijela za njega
- Praćenje kretanja vozila ne može se opravdati za svrhe vođenje evidencije radnog vremena i troškova putovanja, jer se isto može voditi i bez praćenja GPS lokacije
- Nisu postojali dokazi da je praćenje GPS lokacijom nužno za prevenciju krađe ili štete na vozilu
- Stoga ne postoje uvjeti za valjani legitimni interes kao pravni temelj obrade osobnih podataka iz članka 6. GDPR-a
Više o slučaju na:
https://gdprhub.eu/index.php?title=DSB_(Austria)_-_2022-0.021.739&mtc=today
Photo from FreePik
#gdprcroatia